Franking system for postal handling has network coupled computer with built 
in security module 
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Abstract of DE10055145 

The postal franking system for a customer is based around a personal computer that is linked buy a 
server and network to a central station that handles franking values. Built into the customers computer 
system is a security module that prevents misuse of the franking process. 
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<§) Verfahren zurn Versehen von Postsendungen rnit Frankierungsvermerken 
@ Die Erfindung betrifft ein Verfahren zum Versehen von 

Postsendungen mit Farnkierungsvermerken, wobei ein 

Kundensystem ein Drucken von Frankiervermerken auf 

Postsendungen steuert. 

ErfindungsgemafS wird das Verfahren so durchgefuhrt, 
dass in einer Datei erfasst wird, fur welch e durch einen 
Druckbefehl erzeugte Frankiervermerke keine Versen- 
dung einer Postsendung erfolgt. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Versehen 
von Postsendungen mit Frankierungsvermerken, wobei ein 
Kundensystem ein Drucken von Frankierungsvermerken 
auf Postsendungen steuert. 

[0002] Es ist bekannt, eine Frankierung durch Wiedergabe 
von digitalisierten Daten in verschliisselter Form zu erzeu- 
gen. Dieses Verfahren wird wegen seiner bevorzugten 
Durchfuhrung auf Personal Computer nachfolgend zusam- 
menfassend kurz als PC-Frankierung bezeichnet. Die Be- 
zeichnung PC-Frankierung ist jedoch in keiner Weise ein- 
schrankend zu verstehen, da die Erzeugung von digitalen 
Daten an beliebigen Computern erfolgen kann und nicht auf 
Personal Computer beschrankt ist. Der Begriff "Computer" 
ist in keiner Weise einschrankend zu verstehen. Es handelt 
sich hierbei um eine beliebige, zur Durchfuhrung von Be- 
rechnungen geeignete Einheit, beispielsweise eine Worksta- 
tion, einen Personal Computer, einen Micro Computer oder 
eine zur Durchfuhrung von Berechnungen geeignete Schal- 
tung. Beispielsweise kann es sich auch um einen personli- 
chen digitalen Assistenten (PDA) handeln. 
[0003] Eine Darstellung des von der Deutschen Post AG 
geplanten Frankierungsverfahrens wurde der Offentlichkeit 
durch VerofFentlichung im Internet zuganglich gemacht. 
[0004] Die vorgestellte PC-Frankierung enthalt mehrere 
Schritte, in denen ein Kunde einen Portobetrag ladt, aus dem 
Portobetrag Frankiervermerke erzeugt und auf einem Druk- 
ker ausdruckt. Der Ausdruck erfolgt in Form eines PC-Fran- 
kiervermerks, der einen maschinenlesbaren, zweidirnensio- 
nalen Matrixcode enthalt, der zur Priifung der Gultigkeit des 
Frankiervermerks herangezogen werden kann. 
[0005] Die mit dem PC-Frankiervermerk versehene Sen- 
dung kann bei dem Postdienstleister eingeliefert werden. 
Der Postdienstleister befordert die Sendung nach tJberpru- 
fung der Gultigkeit des Frankiervermerks. 
[0006] Um eine missbrauchliche Erzeugung von Frankier- 
vermerken zu verhindem, erfolgt eine Verringerung des zur 
Verfugung stehenden Portobetrages, sobald ein entsprechen- 
der Druckbefehl ausgelost wurde. 

[0007] Es besteht hierbei das Problem, dass nach Ausgabe 
des Druckbefehls, jedoch vor dem tatsachlichen Ausdruck 
des Frankierungsvermerks die Druckdaten verloren gehen 
konnten. Dies kann beispielsweise bei einem Systemab- 
sturz, einem Stromausfall, bei Papierstaus oder bei einem 
Ausdruck mit einer leeren Tintenpatrone oder leerer Toner- 
kassette erfolgen. 

[0008] Der Erfindung liegt die Aufgabe zugrunde, ein gat- 
tungsgemaBes Verfahren so weiterzuentwickeln, dass eine 
Belastung des Benutzers mit Gebiihrenbetragen uber nicht 
zur Versendung von Postsendungen verwendete Frankier- 
vermerke vermieden wird. 

[0009] ErfindungsgemaB wird diese Aufgabe dadurch ge- 
lost, dass in einer Datei erfasst wird, fur welche durch einen 
Druckbefehl erzeugte Frankiervermerke keine Versendung 
einer Postsendung erfolgt. 

[0010] Eine besonders einfache Erstattung von Gebuhren- 
betragen ist dadurch rnoglich, dass die Datei in ein Gebuh- 
renerstattungsformular ubemommen wird. 
[0011] ZweckmaBigerweise wird das Verfahren so durch- 
gefuhrt, dass die Datei und/oder das Gebuhrenerstattungs- 
formular an eine Erstattungsstelle ubermittelt werden. 
[0012] Zur Erhohung der Datensicherheit ist es vorteil- 
haft, dass die Ubermittlung an einen Server erfolgt, und dass 
das Kundensystem Identifikationsdaten uber die nicht zu 
versendenden Sendungen an den Server ubermittelt, und 
dass der Server die Identifikationsdaten an wenigstens eine 
Uberpriifungsstelle weiterleitet. 
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[0013] Bei dem Server handelt es sich vorzugsweise um 
einen logischen Knoten eines Kommunikationsnetzwerkes, 
jedoch kann auch ein sonstiger mit Schnittstellen ausgestat- 
teter Computer, beziehungsweise eine sonstige Berech- 
5 nungseinheit, als Server verwendet werden. 

[0014] Durch die Ubermittlung der Identifikationsdaten 
wird ein Missbrauch der automatisierten Erstattungsmog- 
lichkeit vermieden. Uberprufungsstellen, die vorteilhafter- 
weise in Briefzentren angeordnet sind, die jedoch auch au- 

10 Berhalb der Briefzentren, beispielsweise an einer oder meh- 
reren zentralen Stellen, zusammengefasst sind, konnen eine 
Sendung, die eingeliefert wurde, obwohl der zu ihrer Erzeu- 
gung verwendete Freimachungsvermerk von dem Kunden- 
system als nicht versandt markiert wurde, erkennen. 

15 [0015] Daher ist es rnoglich, dass die Datei, beziehungs- 
weise das Gebuhrenerstattungsformular unverschliisselt in 
dem Kundensystem gespeichert werden. Eine missbrauchli- 
che Eingabe von Angaben uber nicht zur Versendung von 
Postsendungen verwendete Frankierwerte kann durch Aus- 

20 sortierung solcher Sendungen, zu denen die Briefzentren 
eine Nachricht erhalten haben, dass sie als Nichtversand gel- 
ten, entdeckt werden. 

[0016] Auch eine manuelle Eingabe von Sendungsdaten 
kann von dem System zugelassen werden, da ein Miss- 
25 brauch dieser manuellen Eingabemoglichkeit vermieden 
werden kann. 

[0017] Beispielsweise kann der Benutzer des Kundensy- 
stems manuell Daten uber nicht versandte Sendungen einge- 
ben. Eine derartige manuelle Eingabe kann wahlweise - bei- 

30 spielsweise durch Einfuhrung einer Verschliisselung - aus- 
geschlossen oder zugelassen werden. In dem Fall, dass eine 
manuelle Dateneingabe zugelassen ist, kann der Benutzer 
des Kundensystems beispielsweise einen mit einem Fran- 
kiervermerk gekennzeichneten Briefbogen vor einer Ver- 

35 sendung entnehmen, beispielsweise, wenn er nachtraglich 
beschlossen hat, den mit dem Frankiervermerk gekenn- 
zeichneten Briefbogen nicht zu versenden. 
[0018] Eine weitere Erhohung der Datensicherheit ist da- 
durch rnoglich, dass eine Gebuhrenerstattung nur erfolgt, 

40 wenn dem Formular uber die zu erstattenden Frankierver- 
merke Belege uber den Nichtversand oder den Nichtaus- 
druck beigefiigt werden. 

[0019] Diese Belege werden beispielsweise von dem Sy- 
stem automatisiert erstellt, beispielsweise durch ein Scan- 
45 nen der betreffenden Frankiervermerke oder durch Proto- 
kollierung von Systerndaten uber das Nichtausdrucken des 
Frankiervermerks. 

[0020] Eine elektronische Speicherung dieser Angaben ist 
besonders vorteilhaft, weil so eine automatisierte Uberprii- 
50 fung errndglicht wird. 

[0021] Vorzugsweise erfolgt der Versand elektronisch, 
beispielsweise durch eine Nachricht in einem Kommunika- 
tionssystem, eine e-mail oder durch Eingabe in eine Web- 
Seite. 

55 [0022] Weitere Vorteile, Besonderheiten und zweckma- 
Bige Weiterbildungen der Erfindung ergeben sich aus den 
Unteranspriichen und der nachfolgenden Darstellung bevor- 
zugter Ausfuhrungsbeispiele anhand der Zeichnungen. 
[0023] Von den Zeichnungen zeigt 

60 [0024] Fig, 1 ein Kundensystem zur Erzeugung von Frei- 
machungsvermerken; 

[0025] Fig. 2 ein Gesamtsystem aus einem Kundensystem 
und einem externen Server und 

[0026] Fig. 3 eine Bildschirmmaske, welche Informatio- 
65 nen uber die nicht versandte Sendung enthalt. 

[0027] Das in Fig. 1 dargestellte Kundensystem umfasst 
beispielsweise einen Personal Computer 1 mit einem Bild- 
schirm 2, einer Tastatur 3, einer Maus 4 und einem ange- 
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schlossenen Drucker 5. 

[0028] Das Kundensystem ist nicht von der dargestellten 
Hardware abhangig, sondern kann vielfaltige materielle 
Formen aufweisen, beispielsweise kann es in einem einzel- 
nen Speichermodul, beispielsweise einer Chip-Karte, ge- 5 
speichert sein. 

[0029] Bei dem in Fig. 2 dargestellten Gesarntsystem be- 
findet sich das Kundensystem in Kontakt mit einem exter- 
nen Server. Vorteilhafterweise wird der externe Server durch 
ein Ladezentrum (Wertubertragungszentrum) gebildet. to 
[0030] Bei dem Server kann es sich um einen beliebigen 
Computer handeln. Die Bezeichnung Server hat keine ein- 
schrankende Bedeutung, sondern verweist auf die zusatzli- 
che Moglichkeit, Daten gezielt iiber Schnittstellen auszutau- 
schen. 15 
[0031] Eine der Schnittstellen wird vorzugsweise durch 
das Kundensystem bereitgestellt. Diese Schnittstelle, die 
nachfolgend als Kundenschnittstelle bezeichnet wird, er- 
laubt eine Eingabe von Daten uber elektronisch erzeugte, je- 
doch nicht zum Versand von Postwertzeichen benutzte, 20 
Frankiervermerke. 

[0032] Vorzugsweise enthalt das Kundensystem ein Si- 
cherungsmodul, das eine falschungssichere Erzeugung von 
Frankiervermerken ermoglicht. 

[0033] Das Kundensystem ist vorzugsweise Teil eines Ge- 25 
samtsy stems, das in alien Bestandteilen Uberpriifungs- und 
Sicherheitsmechanismen enthalt. 

[0034] Ein weiterer Bestandteil des Gesamtsystems ist 
beispielsweise ein Wertubertragungszentrum. Die Eigen- 
schaften des Wertiibertragungszentrums, die ein unberech- 30 
tigtes Laden von Abrechnungsbetragen verhindern, sind 
nicht dargestellt, da das Kundensystem mit einem beliebi- 
gen derart gesicherten Wertubertragungszentrum verbunden 
werden kann. 

35 

Sicherheitsarchitektur 

[0035] Fur die PC-Frankierung ist eine grundsatzliche Si- 
cherheitsarchitektur vorgesehen, die die Vorteile verschie- 
dener, bestehender Ansatze verbindet und mit einfachen 40 
Mitteln ein hoheres MaB an Sicherheit bietet. 
[0036] Die Sicherheitsarchitektur umfasst vorzugsweise 
im Wesentlichen drei Einheiten, die in einer bevorzugten 
Anordnung in Fig. 2 dargestellt sind: 

45 

- Ein Wertubertragungszentrum, in dem die Identitat 
des Kunden und seines Kundensystems bekannt ist. 

- Ein Sicherungsmodul, das die als nicht durch den 
Kunden manipulierbare Hard-/Software die Sicherheit 
im Kundensystem gewahrleistet (z. B. Dongle oder 50 
Chipkarte bei Oftline-Losungen bzw. gleichwertige 
Server bei Online-Losungen). 

- Ein Briefzentrum, in dem die Gultigkeit der Freima- 
chungsvermerke gepruft, beziehungsweise Manipula- 
tionen am Wertbetrag sowie am Freimachungsvermerk 55 
erkannt werden. 

[0037] Die einzelnen Prozessschritte, die im Wertubertra- 
gungszentrum, Kundensystem und Briefzentrum erfolgen, 
sollen im Folgenden in Form einer Prinzipskizze dargestellt 60 
werden. Der genaue technische Kommunikationsprozess 
weicht hingegen von dieser prinzipiellen Darstellung ab 
(z. B. mehrere Kommunikationsschritte zur Eriangung einer 
hier dargestellten Ubertragung). Insbesondere wird in dieser 
Darstellung eine vertrauliche und integere Kommunikation 65 
zwischen idenufizierten und authentisierten Kommunikati- 
onspartnern vorausgesetzt. 



145 A 1 

4 

Kundensystem 

1. Innerhalb des Sicherungsmoduls wird eine Zufalls- 
zahl erzeugt und zwischengespeichert, die dem Kun- 
den nicht zur Kenntnis gelangt. 

2. Innerhalb des Sicherungsmoduls wird die Zufalls- 
zahl zusammen mit einer eindeutigen Identifikations- 
nurnmer (Sicherungsmodul-LD) des Kundensystems, 
beziehungsweise des Sicherungsmoduls, derart kombi- 
niert und verschliisselt, dass nur das Wertubertragungs- 
zentrum in der Lage ist, eine Entschlusselung durchzu- 
fuhren. 

In einer besonders bevorzugten Ausfuhrungsform wird 
die Zufallszahl zusammen mit einem zuvor vom Wert- 
ubertragungszentrum ausgegebenen Sitzungsschlussel 
und den Nutzdaten der Kommunikation (Beantragung 
der Einrichtung eines Abrechnungsbetrages) mit dem 
offendichen Schliissel des Wertiibertragungszentrums 
verschliisselt und mit dem privaten Schliissel des Si- 
cherungsmoduls digital signiert. Hierdurch wird ver- 
mieden, dass die Anfrage bei jedem Laden eines Ab- 
rechnungsbetrages dieselbe Gestalt hat und zum miss- 
brauchlichen Laden von Abrechnungsbetragen heran- 
gezogen werden kann (Replay- Attack). 

3. Die kryptographisch behandelten Informationen aus 
dem Kundensystem werden an das Wertubertragungs- 
zentrum im Rahmen des Ladens eines Abrechnungsbe- 
trages ubertragen, Weder der Kunde noch Dritte kon- 
nen diese Informationen entschliisseln. 

[0038] In der Praxis wird die asymmetrische Verschlusse- 
lung mit dem offentlichen Schliissel des Kommunikations- 
partners (Wertubertragungszentrum, beziehungsweise Si- 
cherungsmodul) angewandt. 

[0039] Bei der Moglichkeit eines vorhergehenden Austau- 
sches von Schliisseln kommt eine symmetrische Verschlus- 
selung gleichfalls in Betracht. 

Wertubertragungszentrum 

4. Im Wertubertragungszentrum wird unter anderem 
die Zufallszahl, die der Identifikationsnummer des Si- 
cherungsmoduls (Sicherungsmodul-ID) zugeordnet 
werden kann, entschliisselt. 

5. Durch Anfrage in der Datenbank-Freimachung wird 
die Sicherungsmodul-ID einen Kunden der Deutschen 
Post zugeordnet. 

6. Im Wertubertragungszentrum wird eine Ladevor- 
gangsidentifikationsnummer gebildet, die Teile der Si- 
cherungsmodul-ID, die Hone eines Abrechnungsbetra- 
ges etc. beinhaltet. Die entschlusselte Zufallszahl wird 
zusammen mit der Ladevorgangsidentifikationsnum- 
mer derart verschliisselt, dass nur das Briefzentrum in 
der Lage ist, eine Entschlusselung durchzufuhren. Der 
Kunde ist hingegen nicht in der Lage, diese Informatio- 
nen zu entschliisseln. (Die Ladevorgangsidentiflkati- 
onsnummer wird zusatzlich in einer vom Kundensy- 
stem entschliisselbaren Form verschliisselt). In der Pra- 
xis erfolgt die Verschliisselung mit einem symmetri- 
schen Schliissel nach TDES, der ausschlieBlich im 
Wertubertragungszentrum sowie in den Briefzentren 
vorhanden ist. Die Verwendung der symmetrischen 
Verschlusselung an dieser Stelle ist begriindet durch 
die Forderung nach schnellen Entschlusselung sverfah- 
ren durch die Produktion. 

7. Die verschliisselte Zufallszahl und die verschliis- 
selte Ladevorgangsidentifikationsnummer werden an 
das Kundensystem ubertragen. Weder der Kunde noch 
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Dritte konnen diese Infomiationen entschliisseln. 
Durch die alleinige Verwaltung des posteigenen, vor- 
zugsweise symmetrischen Schliissels im Wertubertra- 
gungszentrum und in den Briefzentren kann der 
Schlussel jederzeit ausgetauscht und Schlussellangen 5 
konnen bei Bedarf geandert werden. Hierdurch wird 
auf einfache Weise eine hohe Manipulationssicherheit 
gewahrleistet. In der Praxis wird die Ladevorgangs- 
identifikationsnummer dem Kunden zusatzlich in nicht 
verschliisselter Form zur Verfugung gestellt. 10 

Kundensystem 

8. Der Kunde erfasst im Rahmen der Erstellung eines 
Freimachungsvermerks die sendungsspezifischen In- 15 
formationen oder Sendungsdaten (z. B. Porto, Sen- 
dungsart etc.), die in das Sicherungsmodul ubertragen 
werden. 

9. Innerhalb des Sicherungsmoduls wird ein Hash- 
Wert unter anderem aus foigenden Informationen ee- 20 
bildet a 

- Auszugen aus den Sendungsdaten (z. B. Porto, 
Sendungsart, Datum, PLZ etc.), 

- der zwischengespeicherten Zufallszahl (die im 
Rahmen des Ladens eines Abrechnungsbetrages 25 
erzeugt wurde) 

- und gegebenenfalls der Ladevorgangsidentifi- 
kationsnummer. 

10. In den Freimachungsvermerk werden unter ande- 
rem folgende Daten ubernommen: 30 

- Auszuge aus den Sendungsdaten im Klartext 
(z. B. Porto, Sendungsart, Datum, PLZ etc.), 

- die verschliisselte Zufallszahl und die ver- 
schliisselte Ladevorgangsidentifikationsnummer 
aus dem Wertubertragungszentrum und 35 

- der innerhalb des Sicherungsmoduls gebildete 
Hash-Wert aus Sendungsdaten, Zufallszahl und 
Ladevorgangsidentifikationsnummer. 

Briefzentrum 40 

11. Im Briefzentrum werden zunachst die Sendungs- 
daten gepriift. Stimmen die in den Freimachungsver- 
merk ubernommenen Sendungsdaten nicht mit der 
Sendung iiberein, so liegen entweder eine Falschfran- 45 
kierung, eine Phantasie- oder eine Schmiermarke vor. 
Die Sendung ist der Entgeltsicherung zuzufuhren. 

12. Im Briefzentrum werden die Zufallszahl und die 
Ladevorgangsidentifikationsnummer, die im Rahmen 
des Abrechnungsbetrages an das Kundensystem uber- 50 
geben wurden, entschlusselt. Hierzu ist im Briefzen- 
trum nur ein einziger (symmetrischer) Schlussel erfor- 
derlich. Bei Verwendung von individuellen Schlusseln 
ware jedoch statt dessen eine Vielzahl von Schlusseln 
einzusetzen. 55 

13. Im Briefzentrum wird nach demselben Verfahren 
wie in dem Sicherungsmodul ein Hash-Wert aus foi- 
genden Informationen gebildet: 

- Auszugen aus den Sendungsdaten, 

- der entschlusselten Zufallszahl 60 

- der entschlusselten Ladevorgangsidentifikati- 
onsnummer. 

14. Im Briefzentrum werden der selbstgebildete und 
der ubertragene Hash-Wert verglichen. Stimmen beide 
iiberein, so wurde der ubertragene Hash-Wert mit der- 65 
selben Zufallszahl gebildet, die auch dem Wertubertra- 
gungszentrum im Rahmen des Ladens des Abrech- 
nungsbetrages ubermittelt wurde. Demnach handelt es 
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sich sowohl urn einen echten, gultigen Abrechnungsbe- 
trag als auch urn Sendungsdaten, die dem Sicherungs- 
modul bekanntgegeben wurden (Gultigkeitsprufung). 
Vom Aufwand her entsprechen die Entschlusselung, 
die Bildung eines Hash-Wertes und der Vergleich von 
zwei Hash-Werten theoretisch dem einer Signaturpru- 
fung. Aufgrund der symmetrischen Entschlusselung 
entsteht jedoch gegenuber der Signaturpriifung ein 
zeitlicher Vorteil. 

15. Uber eine Gegenprufung im Hintergrundsystem 
konnen im Nachhinein Abweichungen zwischen gela- 
denen Abrechnungsbetragen und Frankierbetragen er- 
mittelt werden (Uberpriifung hinsichtlich Sendungsdu- 
bletten, Saldenbildung im Hintergrundsystem). 

[0040] Die dargestellte grundsatzliche Sicherheitsarchi- 
tektur umfasst nicht die separat abgesicherte Verwaltung der 
Abrechnungsbetrage (Borsenfunktion), die Absicherung der 
Kommunikation zwischen Kundensystem und dem Wert- 
ubertragungszentrum, die gegenseitige Identifizierung von 
Kundensystem und Wertubertragungszentrum und die In- 
itialisierung zur sicheren Betriebsaufnahme eines neuen 
Kundensystems. 

Angriffe auf die Sicherheitsarchitektur 

[0041] Die beschriebene Sicherheitsarchitektur ist sicher 
gegenuber Angriffen durch Folgendes: 

- Dritte konnen die im Internet mitgeschnittene (ko- 
pierte) erfolgreiche Kommunikation zwischen einem 
Kundensystem und dem Wertubertragungszentrum 
nicht zu betriigerischen Zwecken nutzen (Replay-At- 
tacke). 

- Dritte oder Kunden konnen gegenuber dem Wert- 
ubertragungszentrum nicht die Verwendung eines ord- 
nungsgemafien Kundensystems durch ein manipulier- 
tes Kundensystem yortauschen. Spiegelt ein Dritter 
oder ein Kunde die Ubertragung einer Zufallszahl und 
einer Safe-Box-ID vor, die nicht innerhalb eines Siche- 
rungsmoduls erzeugt wurden, sondern ihm bekannt 
sind, so scheitert das Laden der Abrechnungsbetrage 
entweder an der separat durchgefuhrten Identifikation 
des rechtmaBigen Kunden durch Benutzername und 
Kennwort oder an der Kenntnis des privaten Schliissels 
des Sicherungsmoduls, der dem Kunden unter keinen 
Umstanden bekannt sein darf. (Deshalb ist der Initiali- 
sierungsprozess zur Schliisselerzeugung in dem Siche- 
rungsmodul und die Zertifizierung des offentlichen 
Schlussels durch den Kundensystemanbieter geeignet 
durchzufuhren.) 

- Dritte oder Kunden konnen nicht mit einem vorge- 
tauschten Wertubertragungszentrum guitige Abrech- 
nungsbetrage in ein Kundensystem laden. Spiegelt ein 
Dritter oder ein Kunde die Funktionalitat des Wert- 
ubertragungszentrums vor, so gelingt es diesem vorge- 
spiegelten Wertubertragungszentrum nicht, eine ver- 
schlusselte Ladevorgangsidentifikationsnummer zu er- 
zeugen, die im Briefzentrum ordnungsgemaB ent- 
schlusselt werden kann. Zudem kann das Zertifikat des 
bffendichen Schlussels des Wertubertragungszentrums 
nicht gefalscht werden. 

- Kunden konnen nicht unter Umgehung des Wert- 
ubertragungszentrums einen Freimachungsvermerk er- 
stellen, dessen Ladevorgangsidentifikationsnummer 
derart verschlQsselt ist, dass sie im Briefzentrum als 
giiltig entschlusselt werden konnte. 
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[0042] Zur Erhohung der Datcnsicherheit, insbesondere 
beim Suchen, ist eine unbegrenzte Anzaht von Zufallszah- 
len zur Hash-Wert-Bildung heranzuziehen. 

- Die Lange der Zufallszahl ist daher moglichst groB 5 
und betragt vorzugsweise mindestens 12 byte (96 bit). 
Die eingesetzte Sicherheitsarchitektur ist durch die 
Moglichkeit, kundenspezifische Schlussei einzusetzen, 
ohne dass es notwendig ist, in zur Entschliisselung be- 
stimmten Stellen, insbesondere Brief zentren, Schlussei 10 
bereit zu halten, den bekannten Verfahren iiberlegen. 
Diese vorteilhafte Ausgestaltung ist ein wesentlicher 
Unterschied zu den bekannten Systemen nach dem In- 
formation-Based Indicia Program (IB IT). 



Vorteile der Sicherheitsarchitektur 

[0043] Folgende Merkmale zeichnen die beschriebene Si- 
cherheitsarchitektur gegeniiber dem bekannten IBIP-Modell 20 
des US Postal Services der USA aus: 

- Die eigentliche Sicherheit wird in den Systemen der 
Deutschen Post (Wertubertragungszentrum, Brief zen- 
trum, Entgeltsicherungssystem) gewahrleistet und liest 25 
damit voUstandig im Einflussbereich der Deutschen 
Post. 

- Es werden im Freimachungsvermerk keine Signatu- 
res sondern technisch gleichwertige und ebenso si- 
chere (symmetrisch) verschliisselte Daten und Hash- 30 
Werte angewandt. Hierzu wird im einfachsten Falle nur 
ein symmetrischer Schlussei verwendet, der alleine irn 
Einflussbereich der Deutschen Post liegt und somit 
leicht austauschbar ist. 

- Im Briefzentrum ist eine tFberprufung aller Freima- 35 
chungsmerkmale (nicht bloB stichprobenweise) mog- 
lich. 

- Das Sicherheitskonzept basiert auf einem einfachen, 
in sich geschlossenen Prufkreislauf, der in Einklang 
mit einem hierauf angepassten Hintergrundsystem 40 
steht. 

- Das System macht selbst ansonsten kaum feststell- 
bare Dubletten erkennbar. 

- Ungiiltige Phantasiemarken sind mit diesem Verfah- 
ren mit hoher Genauigkeit erkennbar. 45 

- Neben der Plausibilitatspriifung kann bei alien Frei- 
machungsvermerken eine Uberprufung der Ladevor- 
gangsidentifikationsnummer in Echtzeit erfolgen. 

50 

Sendungsarten 

[0044] Mit der PC-Frankierung konnen alle Produkte des 
Versendungsdienstleisters wie beispielsweise "Brief natio- 
nal" (einschlieBlich Zusatzleistungen) und "Direkt Marke- 55 
ting national" gemaB einer vorhergehenden Fesdegung 
durch den Versendungsdienstleister freigemacht werden. 
[0045] Ein Einsatz fur andere Versandformen wie Paket- 
und Expresssendungen ist gleichermaBen moglich. 
[0046] Der Gebuhrenbetrag, der maximal uber das Wert- 60 
ubertragungszentrum geladen werden kann, wird auf einen 
geeigneten Betrag festgelegt. Der Betrag kann je nach An- 
forderung des Kunden und dem Sicherheitsbedurfnis des 
Postdienstleisters gewahlt werden. Wahrend fur einen Ein- 
satz im Privatkundenbereich ein Gebuhrenbetrag von maxi- 65 
mal mehreren hundert DM besonders zweckmaBig ist, wer- 
den fiir Einsatze bei GroBkunden wesentlich hohere Gebiih- 
renbetxage vorgesehen. Ein Betrag in der GroBenordnung 



145 A 1 

8 

von ctwa DM 500,- eignet sich sowohl fur anspruchsvolle 
Privathaushalte als auch fur Freiberufler und kleinere Unter- 
nehmen. Der in der Borse gespeicherte Wert sollte vorzugs- 
weise den doppelten Wertbetrag systemtechnisch nicht 
iiberschreiten. 

Falschfrankierte Sendungen 

[0047] Falschfrankierte und nicht zur Beforderung geeig- 
nete, bereits bedruckte Schreiben, Umschlage etc. mit einem 
gultigen Freimachungsvermerk werden dem Kunden gutge- 
schrieben. 

[0048] Durch geeignete MaBnahmen, beispielsweise 
durch eine Stempelung von in dem Briefzentrum eingehen- 
den Sendungen, ist es moglich festzustellen, ob eine Sen- 
dung bereits befordert wurde. Hierdurch wird verhindert^ 
dass Kunden bereits beforderte Sendungen vom Empfanger 
zuriick erhalten und diese zur Gutschrift bei dem Postdients- 
betreiber, beispielsweise der Deutschen Post AG, einrei- 
chen. 

[0049] Die Rucksendung an eine zentrale S telle des Ver- 
sendungsdienstleisters, beispielsweise der Deutschen Post, 
ermoglicht ein hohes MaB an Entgeltsicherung durch Ab- 
gleich der Daten mit Abrechnungsbetragen und die Kennt- 
nis uber die haufigsten Zusendungsgriinde. Hierdurch be- 
steht gegebenenfalls die Moglichkeit der Nachsteuerung 
durch Anderung der Einfuhrungsvoraussetzungen mit dem 
Ziel der Reduzierung der Riicksendequote. 

Gultigkeit von Freimachungswerten 

[0050] Vom Kunden gekaufte Abrechnungs werte sind aus 
Griinden der Entgeltsicherung beispielsweise nur 3 Monate 
giiltig. Ein entsprechender Hinweis ist in der Vereinbarung 
mit dem Kunden aufzunehmen. Konnen Frankierwerte nicht 
innerhalb von 3 Monaten aufgebraucht werden, muss vom 
Kundensystem die Kontaktierung des Wertubertragungs- 
zentrums zu einer erneuten Herstellung von Freimachungs- 
vermerken aufgenommen werden. Bei dieser Kontaktierung 
wird, wie beim ordentlichen Laden von Abrechnungsbetra- 
gen, der Restbetrag eines alten Abrechnungsbetrages einem 
neu ausgegebenen Abrechnungsbetrag zugeschlagen und 
unter einer neuen Ladevorgangsidentifikationsnummer dem 
Kunden zur Verfugung gestellt. 

Besondere betriebliche Behandlung 

[0051] Grundsatzlich konnen die Freimachungsvermerke 
eine beliebige Form aufweisen, in der die in ihnen enthalte- 
nen Informationen wiedergegeben werden konnen. Es ist je- 
doch zweckmaBig, die Freimachungsvermerke so zu gestal- 
ten, dass sie wenigstens bereichsweise die Form von Barco- 
des aufweisen. Bei der dargestellten Losung des 2D-Barco- 
des und der daraus resultierenden Entgeltsicherung sind fol- 
gende Besonderheiten in der Produktion zu beriicksichtigen: 
PC-frankierte Sendungen konnen uber alle Einlieferungs- 
mogUchkeiten, auch uber Briefkasten, eingeliefert werden. 
[0052] Durch die Festlegung von Zulassungsvorausset- 
zungen fur Hersteller von fiir die Schnittstellen relevanten 
Bestandteilen des Frankierungs systems, insbesondere fur 
Hersteller und/oder Betreiber von Kundensystemen, wird 
die Einhaltung der dargestellten SicherheitsmaBnahmen 
weiter erhoht. 
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tlbergeordnete Normen, Standards und Vorgaben 

International Postage Meter Approval Requirements (IP- 
MAR) 

5 

[0053] Vorzugsweise finden die Vorschriften der aktueUen 
Fassung des Dokuments International Postage Meter Appro- 
val Requirements (IPMAR), UPU S-30, ebenso Anwendung 
wie alle Normen und Standards, auf die in diesem Doku- 
ment verwiesen wird. Die weitestmogliche Einhaltung aller to 
dort genannten "Requirements" ist fur das Kundensystem 
sinnvoll. 
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Digital Postage Marks: Applications, Security & Design 

[0054] Grundsatzlich finden die Vorschriften der aktuellen 
Fassung des Dokuments Digital Postage Marks: Applicati- 
ons, Security & Design (UPU: Technical Standards Manual) 
ebenso Anwendung wie alle Normen und Standards, auf die 
in diesem Dokument verwiesen wird. Die Einhaltung des 20 
"normativen" Inhalts sowie die weitestgehende Beachtung 
des "inforrnativen" Inhalts dieses Dokuments ist fur das 
Kundensystem sinnvoll. 

[0055] Vorzugsweise finden iiber die ubergeordneten Nor- 
men und Standards hinaus Regelungen und Bestimmungen 25 
des jeweiligen Versendungsdienstleistungsunternehmens 
gieichfalls Anwendung. 

[0056] Durch eine Zulassung lediglich solcher Systeme, 
die alle gesetzlichen Bestimmungen ebenso erfullen wie alle 
Normen und Standards des Versendungsdienstleisters, wer- 30 
den Datensicherheit und Zuverlassigkeit des Systems 
ebenso gewahrleistet wie seine Benutzerfreundlichkeit. 

Weitere Gesetze, Verordnungen, Richtlinien, Vorschriften, 

Normen und Standards 35 

[0057] Grundsatzlich finden alle Gesetze, Verordnungen, 
Richtlinien, Vorschriften, Normen und Standards der jeweils 
gultigen Fassung Anwendung, die zur Entwicklung und 
zum Betrieb eines technischen Kundensystems in der kon- 40 
kreten Auspragung zu beachten sind. 



Anmeldung zum Laden eines Abrechnungsbetrages (erste 
Ubertragung von dem Sicherungsmodul zum Wertubertra- 
gungszentrum) 

[0062] Im Rahmen der ersten Ubertragung von dem Si- 
cherungsmodul zum Wertubertragungszentrum werden das 
Zertifikat des Sicherungsmoduis sowie ein Aktionsindikator 
A unverschliisselt und unsigniert iibertragen. 

Ruckmeldung zur Anmeldung (erste Antwort vom Wert- 
ubertragungszentrum zum Sicherungsmodul) 

[0063] Die Ruckmeldung des Wertubertragungszentrums 
enthalt das eigene Zertifikat des Wertubertragungszentrums, 
einen verschlusselten Sitzungsschlussel und die digitale Si- 
gnatur des verschlusselten Sitzungsschlussels. 

Zweite Ubertragung von dem Sicherungsmodul zum Wert- 
ubertragungszentrum 

[0064] Im Rahmen dieser Ubertragung sendet das Siche- 
rungsmodul den neu verschlusselten Sitzungsschlussel, die 
verschlusselte Zufallszahl und den verschlusselten Daten- 
satz mit Nutzdaten (Hohe eines vorab geiadenen Abrech- 
nungsbetrages, Restwert des aktuellen Abrechnungsbetra- 
ges, aufsteigendes Register aller Abrechnungsbetrage, die 
letzte Ladevorgangsidentifikationsnummer - (alles asym- 
metrisch mit dem offentlichen Schlussel des Wertubertra- 
gungszentrums verschliisselt). Gleichzeitig sendet das Si- 
cherungsmodul die digitale Signatur dieser verschlusselten 
Daten. Im gleichen Zeitraum kann das Kundensystem wei- 
tere, nicht verschliisselte und nicht signierte Nutzungsproto- 
kolle oder Nutzungsprofile an das Wertubertragungszentrum 
senden. 

[0065] Es ist zweckmassig, dass die Nutzungsdaten in ein 
NutzungsprotokoU eingetragen werden und dass das Nut- 
zungsprotokoll und/oder die darin vermerkten Eintrage digi- 
tal signiert werden. 

Zweite Antwort vom Wertubertragungszentrum zu dem Si- 
cherungsmodul 



Systemtechnische Interoperabilitat 

[0058] Die systemtechnische Interoperabilitat bezieht sich 
auf die Funktionsfahigkeit der Schnittstellen des Kundensy- 
stems, beziehungsweise auf die Einhaltung der in den 
Schnittstellenbeschreibungen spezifizierten Vorgaben. 

Schnittstelle, Abrechnungsbetrag, Kommunikationsweg, 
Protokolle 

[0059] Die Kommunikation iiber die Schnittstelle Abrech- 
nungsbetrag erfolgt vorzugsweise iiber das offentliche Inter- 
net auf der Basis der Protokolle TCP/IP und HTTP. Der Da- 
tenaustausch kann optional per HTTP iiber SSL verschlus- 
selt werden (https). Hier dargestellt ist der Soll-Prozess ei- 
ner erforderlichen Ubertragung. 

[0060] Der Datenaustausch erfolgt vorzugsweise, sofern 
rnoglich, iiber HTML- undXML-kodierteDateien. Die text- 
lichen und graphischen Inhalte der HTML-Seiten sind im 
Kundensystem darzustellen. 

[0061] Es erscheint empfehlenswert, bei den Kornmunika- 
tionsseiten auf eine bewahrte HTML- Version zuriickzugrei- 
fen und auf die Verwendung von Frames, eingebetteten Ob- 
jekten (Applets, ActiveX etc.) und ggf. animierten GIFs zu 
verzichten. 



[0066] Das Wertubertragungszentrum ubermittelt die 
symmetrisch verschlusselte Zufallszahl und die symme- 

45 trisch verschlusselte Ladevorgangsidentifikationsnummer 
an das Sicherungsmodul. AuBerdem ubermittelt das Wert- 
ubertragungszentrum die mit dem offentlichen Schlussel des 
Sicherungsmoduis ersteUte Ladevorgangsidentifikations- 
nummer, Login-Informationen fur das Sicherungsmodul so- 

50 wie einen neuen Sitzungsschlussel an das Sicherungsmodul. 
Die gesamten ubertragenen Daten werden zudem digital si- 
gniert. 

Dritte Ubertragung von dem Sicherungsmodul zum Wert- 
55 ubertragungszentrum 

[0067] Im Rahmen der dritten Ubertragung werden von 
dem Sicherungsmodul der neue Sitzungsschlussel, die neue 
Ladevorgangsidentifikationsnummer zusammen mit Nutz- 
60 daten zur Bestatigung der erfolgreichen Kommunikation al- 
lesamt in verschlusselter und digital signierter Form an das 
Wertubertragungszentrum iibertragen. 

Dritte Antwort vom Wertubertragungszentrum an das Siche- 
65 rungsmodul 

[0068] Bei der dritten Antwort quittiert das Wertubertra- 
gungszentrum den Erfolg der Ubertragung ohne Anwen- 
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dung kryptographischer Vcrfahren. 

Deinstallation 

[0069] Die Moglichkeit einer Deinstallation des Kunden- 5 
systems muss durch den Kunden moglich sein. 
[0070] Die detaillierte, technische Beschreibung der 
Schnittstelle Abrechnungsbetrag erfolgt mit Konzeption des 
posteigenen Wertubertragungszentrurns. 

Nutzungsprotokoll und Nutzungsprofil 

[0071] Im Kundensystem ist im Rahmen jeder Erzeugung 
eines Freimachungsvermerks ein Protokolleintrag zu erzeu- 
gen, der alle Angaben des jeweiligen Freimachungsver- 15 
merks - versehen rnit einer digitalen Signatur des Siche- 
rungsmoduls - enthalten muss. Weiterhin muss im Protokoll 
jeder Fehlerstatus des Sicherungsmoduls derart verzeichnet 
werden, dass die manuelle Loschung dieses Eintrags bei der 
Uberprufung bemerkt wird. 20 
[0072] Das Nutzungsprofil enthalt eine aufbereitete Zu- 
sammenfassung der Nutzungsdaten seit der letzten Kommu- 
nikation mit dem Wertubertragungszentrum. 
[0073] Ist ein Kundensystem in eine beim Kunden befind- 
liche und eine zentral (z. B. im Internet befindliche) Kompo- 25 
nente aufgeteilt, so muss das Nutzungsprofil in der zentralen 
Komponente gefuhrt werden. 

Schnittstelle, Freimachungsvermerk, Bestandteile und Aus- 

pragungen 30 

[0074] Das Kundensystem muss in der Lage sein, PC- 
Freimachungsvermerke zu erzeugen, die exakt den Vorga- 
ben der Deutschen Post, beziehungsweise dem Rahmen der 
gangigen CEN- und UPU-Standards entsprechen. 35 
[0075] PC-Freimachungsvermerke bestehen vorzugs- 
weise aus folgenden drei Eiementen: 

- Einem 2-dimensionalen Strichcode, Barcode oder 
Matrixcode, in dem sendungsspezifische Informatio- 40 
nen in maschinenlesbarer Form dargestellt sind. 
(Zweck: Automatisierung in der Produktion und Ent- 
geltsicherung der Deutschen Post.) 

- Text in Klarschrift, der wichtige Teile der Strich- 
code-Information in lesbarer Form wiedergibt. 45 
(Zweck: Kontrollmoglichkeit fur den Kunden sowie in 
der Produktion und Entgeltsicherung der Deutschen 
Post.) 

- Eine den Versendungsdienstleister, beispielsweise 
die Deutsche Post, kennzeichnende Marke wie bei- 5C 
spiels weise ein Posthorn. 

Spezifikation des Dateninhaltes 

55 

[0076] ZweckmaBigerweise enthalten Strichcode und 
Klartext des PC-Freimachungsvermerks folgende Inforrna- 
tionen: 

Tabelle « 

Inhalt des PC-Freimachungsvermerks 

[0077] Beschrieben wird hier nur der Inhalt des Freima- 
chungsvermerks. Die Vorschriften des Versendungsdienst- 6: 
leisters fur den Inhalt der Adressangaben behalten unveran- 
dert ihre Gultigkeit. 
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Spezifikation der physikalischen Auspragung auf Pa- 
pier(Layout) 

[0078] Der Freimachungsvermerk ist vorteilhafterweise 
im Anschriftenfeid linksbundig oberhalb der Anschrift auf 
der Sendung angebracht. 

[0079] Das Anschriftenfeid wird in der jeweils gultigen 
Fassung der Normen des Versendungsdienstleisters spezifi- 
ziert. So werden insbesondere folgende Freimachungen er- 
moglicht: 

- Aufdruck auf den Briefumschlag, 

- Aufdruck auf Klebeetiketten oder 

- Verwendung von Fensterbriefumschlagen derart, 
dass der Aufdruck auf den Brief durch das Fenster voll- 
standig sichtbar ist. 

[0080] Fur die einzelnen Elemente des Freimachungsver- 
merks gilt vorzugsweise: 

- Verwendet wird zunachst der Strichcode vom Type 
Data Matrix, dessen einzelne Bildpunkte eine Kanten- 
lange von mindestens 0,5 Millimeter aufweisen sollten. 
Im Hinblick auf lesetechnische Voraussetzungen sollte 
ein 2D-Barcode in Form der Data Matrix mit einer mi- 
nimalen PixelgroBe von 0,5 mm bevorzugt zur Anwen- 
dung kommen. Eine ggf. zweckmafiige Option besteht 
darin, die Pixel-GroBe auf 0,3 mm zu reduzieren. 

Bei einer DarstellungsgroBe von 0,5 mm pro Pixel er- 
gibt sich eine Kantenlange des gesamten Barcodes von 
ca. 18 bis 20 mm, wenn alle Daten wie beschrieben 
eingehen. Falls es gelingt, Barcodes mit einer Pixel- 
groBe von 0,3 mm in der ALM zu lesen, lasst sich die 
Kantenlange auf ca. 13 mm reduzieren. 
Eine nachtragliche Erweiterung der Spezifikationen 
auf die Verwendung eines anderen Barcodes (z. B. Az- 
tec) bei gleichen Dateninhalten ist moglich. 

[0081] Eine bevorzugte Ausfuhrungsform des Layouts 
und der Positionierung der einzelnen Elemente des Freima- 
chungsvermerks ist nachfolgend in Fig, 5 beispielhaft dar- 
gestellt. 

[0082] Die "kritischste" GroBe ist die Hone des dargestell- 
ten Fensters eines Fensterbriefumschlags mit einer GroBe 
von 45 mm x 90 mm. Hier dargestellt wird ein DataMatrix- 
Code mit einer Kantenlange von ca. 13 mm, der bei Verwen- 
dung der vorgeschlagenen Datenfelder nur bei einer Pixel- 
auflosung von 0,3 mm moglich ist. Ein Code mit einer Kan- 
tenlange von 24 mm lasst beziiglich der zur Verfugung ste- 
i henden H6he keinen ausreichenden Raum fur Angaben zur 
Anschrift. 

Druckqualitat und Lesbarkeit 

i [0083] Verantwortlich fur den einwandfreien Aufdruck 
des Freimachungsvermerks sind der Hersteller des Kunden- 
systems im Rahmendes Zulassungsverfahrens sowie der 
Kunde im spateren Betrieb. Hierzu ist der Kunde durch ge- 
eignete Hinweise in einem Benutzerhandbuch und einem 

) Hilfesystem hinzuweisen. Dies gilt insbesondere fur das 
saubere Haften von Etiketten und das Verhindern des Ver- 
rutschens (von Teilen) des Freimachungsvermerks auBer- 
halb des sichtbaren Bereichs von Fensterbriefumschlagen. 
[0084] Die maschinelle Lesbarkeit von Freimachungsver- 

5 merken steht in Abhangigkeit von der verwendeten Druck- 
auflosung und vom Kontrast. Sollen statt schwarz auch an- 
dere Farben zur Anwendung kommen, so ist mit einer gerin- 
geren Leserate zu rechnen. Es ist davon auszugehen, dass 
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die geforderte Leserate bei einer im Drucker verwendeten 
Auflosung von 300 dpi ("dots der inch") bei hohem Druck- 
Kontrast gewahrleistet werden kann; das entspricht etwa 
120 Bildpunkten pro Zentimeter. 
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an eine Webseite erfolgt. 



Hierzu 3 Seite(n) Zeichnungen 



Testdrucke 



[0085] Das Kundensystem muss in der Lage sein, Freima- 
chungsvermerke zu produzieren, die in Auspragung und 
GroBe giiltigen Freimachungsvermerken entsprechen, je- 10 
doch nicht fur den Versand bestimmt sind, sondern fiir Kon- 
trollausdrucke und der Drucker-Feinjustierung dienen. 
[0086] Vorzugsweise ist das Kundensystem so gestaltet, 
dass die Testdrucke sich in einer fiir das Versendungsunter- 
nehmen erkennbaren Weise von tatsachlichen Freima- 15 
chungs vermerken unterscheiden. Dazu wird beispiels weise 
in der Mitte des Freimachungsvermerks die Aufschrift 
"MUSTER - nicht versenden" angebracht. Mindestens zwei 
Drittel des Barcodes, sollen durch die Aufschrift oder ander- 
weitig unkenntlich gemacht werden. 20 
[0087] Neben echten (bezahlten) Freimachungsvermer- 
ken diirfen auBer gesondert gekennzeichneten Testdrucken 
keine Nulldrucke hergestellt werden. 

Anforderungen an das Kundensystem 25 

Basis-System 

Uberblick und Funktionalitat 

30 

[0088] Das Basis-System dient als Bindeglied zwischen 
den anderen Komponenten der PC-Frankierung, namentlich 
dem Wertubertragungszentrum, des Sicherungsmoduls, dem 
Drucker und dem Kunden. Es besteht aus einem oder meh- 
reren Computersystemen, zum Beispiel PCs, die ggf. auch 35 
durch ein Netzwerk miteinander verbunden sein konnen. 
[0089] Die Erfindung ermoglicht es, bei verschiedenen 
Schritten der Erzeugung von Freimachungsvermerken den 
weiteren Vorgang der Berechnung eines Gebuhrenbetrages 
zu unterbrechen. 40 



Patentanspriiche 

1. Verfahren zum Versehen von Postsendungen mit 
Frankierungsvermerken, wobei ein Kundensystem ein 45 
Drucken von Frankierungsvermerken auf Postsendun- 
gen steuert, dadurch gekennzeichnet, dass in einer 
Datei erfasst wird, fiir welche durch einen Druckbefehl 
erzeugte Frankiervermerke keine Versendung einer 
Postsendung erfolgt. 50 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass die Informationen der Datei in ein Gebuhren- 
erstattungsformular ubernommen werden. 

3. Verfahren nach einem oder beiden der Anspriiche 1 
oder 2, dadurch gekennzeichnet, dass die Datei und/ 55 
oder das Gebuhrenerstattungsformular an eine Erstat- 
tungsstelle ubermittelt werden. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass die Ubermittlung an einen Server erfolgt und 
dass das Kundensystem Identifikationsdaten iiber die 60 
nicht zu versendenden Sendungen an den Server uber- 
mittelt, und dass der Server die Identifikationsdaten an 
wenigstens eine Uberpriifungsstelle weiterleitet. 

5. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass die Ubermittlung durch eine e-mail erfolgt. 65 

6. Verfahren nach einem oder beiden der Anspriiche 3 
oder 4, dadurch gekennzeichnet, dass die Ubermittlung 
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